淺析會(huì)計(jì)信息系統(tǒng)的安全控制

李 真

【摘要】伴隨著信息技術(shù)在會(huì)計(jì)工作的廣泛應(yīng)用,會(huì)計(jì)信息系統(tǒng)的安全也面臨著嚴(yán)峻的考驗(yàn)。本文在分析會(huì)計(jì)信息系統(tǒng)安全現(xiàn)狀的基礎(chǔ)上,歸納了目前會(huì)計(jì)信息系統(tǒng)存在的安全問題并有針對(duì)性地提出風(fēng)險(xiǎn)控制措施。

【關(guān)鍵詞】會(huì)計(jì)信息系統(tǒng);信息安全;會(huì)計(jì)信息化

隨著信息技術(shù)的不斷進(jìn)步,信息技術(shù)在會(huì)計(jì)系統(tǒng)中的運(yùn)用越來越廣泛。近年來隨著網(wǎng)絡(luò)技術(shù)的普及和推廣,會(huì)計(jì)信息化已發(fā)展到一個(gè)新的階段。由于財(cái)務(wù)工作本身的特點(diǎn)、會(huì)計(jì)信息系統(tǒng)將會(huì)面臨更多的新問題。其中安全問題是實(shí)施會(huì)計(jì)信息化必須首先加以認(rèn)真考慮,并切實(shí)有效加以解決的問題。

一、會(huì)計(jì)信息系統(tǒng)安全現(xiàn)狀

隨著會(huì)計(jì)信息化的發(fā)展,新的高科技計(jì)算機(jī)的應(yīng)用,會(huì)計(jì)信息系統(tǒng)安全性方面也面臨日益突顯的若干問題。

首先,會(huì)計(jì)信息系統(tǒng)信息資源不能共享。會(huì)計(jì)信息系統(tǒng)目前仍然是一個(gè)封閉式的系統(tǒng)。會(huì)計(jì)信息系統(tǒng)的開放性除了應(yīng)體現(xiàn)在企業(yè)內(nèi)部個(gè)子系統(tǒng)之間的信息共享之外,還應(yīng)體現(xiàn)在系統(tǒng)向外界披露信息的內(nèi)容和發(fā)布方式上。但目前會(huì)計(jì)信息系統(tǒng)既不能通過Internet網(wǎng)絡(luò)向股東發(fā)布財(cái)務(wù)報(bào)表等信息,也不能通過網(wǎng)絡(luò)直接向稅務(wù)、財(cái)政、審計(jì)、銀行等綜合管理部門提供信息,更不能有選擇地披露相關(guān)人事、技術(shù)、設(shè)備以及股東所關(guān)心的其他信息。

其次,會(huì)計(jì)信息系統(tǒng)安全管理難度增大。會(huì)計(jì)信息安全問題在傳統(tǒng)的紙質(zhì)信息載體和手工處理階段就存在。隨著信息技術(shù)在會(huì)計(jì)中的運(yùn)用,會(huì)計(jì)的組織管理、日常維護(hù)與管理均發(fā)生了變化。會(huì)計(jì)信息系統(tǒng)不是單一系統(tǒng)而是人機(jī)一體的復(fù)雜系統(tǒng),其安全不僅涉及設(shè)備安全,而且涉及技術(shù)問題和管理問題,安全控制內(nèi)容廣泛,安全控制的方手段比手工賬務(wù)處理時(shí)期更加復(fù)雜,這就增加了安全管理難度。

第三,會(huì)計(jì)信息系統(tǒng)安全法規(guī)、制度建設(shè)相對(duì)滯后。自上個(gè)世紀(jì)80年代以來,財(cái)政部先后制定了有關(guān)會(huì)計(jì)軟件開發(fā)、評(píng)審及管理的相關(guān)規(guī)定,促進(jìn)了會(huì)計(jì)信息化的健康發(fā)展。但實(shí)施會(huì)計(jì)信息化以后,與會(huì)計(jì)核算相關(guān)的會(huì)計(jì)工作規(guī)范仍然按傳統(tǒng)的手工算賬、記賬為制定標(biāo)準(zhǔn),因此信息化會(huì)計(jì)法規(guī)的建設(shè)和會(huì)計(jì)信息化的普及推廣不相協(xié)調(diào)。

第四,會(huì)計(jì)人員素質(zhì)亟待提高。人的素質(zhì)決定了會(huì)計(jì)信息化工作的質(zhì)量,不少單位的會(huì)計(jì)信息系統(tǒng)人員是由中專學(xué)歷層次的會(huì)計(jì)人員經(jīng)過短期培訓(xùn)而來,他們業(yè)務(wù)經(jīng)驗(yàn)豐富,但計(jì)算機(jī)專業(yè)知識(shí)卻很匱乏,難以勝任會(huì)計(jì)信息化條件下的會(huì)計(jì)業(yè)務(wù)工作。表現(xiàn)較為突出的是對(duì)財(cái)務(wù)軟件的應(yīng)用方法掌握的不熟練,對(duì)軟件的認(rèn)識(shí)有局限性,對(duì)軟件運(yùn)行過程中出現(xiàn)的故障不能及時(shí)排除,導(dǎo)致會(huì)計(jì)信息系統(tǒng)不能正常運(yùn)行。

二、影響會(huì)計(jì)信息系統(tǒng)安全的因素

隨著信息技術(shù)的發(fā)展和普及,會(huì)計(jì)信息化得到廣泛應(yīng)用。一方面,大大提高了會(huì)計(jì)工作效率,保證了會(huì)計(jì)工作質(zhì)量;另一方面,給會(huì)計(jì)信息系統(tǒng)安全工作帶來了嚴(yán)峻的挑戰(zhàn)。影響會(huì)計(jì)信息系統(tǒng)安全的因素主要表現(xiàn)為以下四個(gè)方面。

(一)會(huì)計(jì)軟件本身因素

首先,會(huì)計(jì)軟件本身保密性欠佳。目前市場上的不少會(huì)計(jì)信息系統(tǒng)軟件受開發(fā)技術(shù)的限制,加之開發(fā)人員不了解賬務(wù)處理過程中容易出現(xiàn)的漏洞,使得軟件的內(nèi)部控制功能很不完善,造成在軟件數(shù)據(jù)輸入、存儲(chǔ)、處理、傳遞、輸出以及信息保管過程中形成制度漏洞。其次,一些財(cái)務(wù)軟件對(duì)不同行業(yè)的會(huì)計(jì)核算特點(diǎn)考慮不充分,因此軟件難以適用于不同的行業(yè)。結(jié)果不少實(shí)行會(huì)計(jì)信息化的單位仍需要會(huì)計(jì)人員去做輔助管理工作。此外,我國信息化會(huì)計(jì)軟件應(yīng)用還暴露出一些弱點(diǎn),如系統(tǒng)的初始化工作量大;會(huì)計(jì)信息系統(tǒng)內(nèi)部材料、工資、往來等模塊之間彼此分隔,缺乏數(shù)據(jù)傳輸?shù)膶?shí)用性、一致性和系統(tǒng)性;不同公司生產(chǎn)的會(huì)計(jì)信息化軟件之間無法進(jìn)行數(shù)據(jù)交換,很難形成整體的管理信息系統(tǒng)。

(二)內(nèi)部控制制度因素

信息技術(shù)的普及使會(huì)計(jì)信息化作為一種新型的會(huì)計(jì)核算和管理方式得到了迅猛的發(fā)展。會(huì)計(jì)信息化的使用可以節(jié)約大量的人力、物力和時(shí)間。目前我國會(huì)計(jì)信息化的應(yīng)用還停留在初中級(jí)水平上,會(huì)計(jì)人員職責(zé)權(quán)限的劃分和會(huì)計(jì)信息化檔案管理等內(nèi)部控制制度還不完善,由此造成會(huì)計(jì)人員職能權(quán)限分配混亂、會(huì)計(jì)數(shù)據(jù)丟失的事件頻繁發(fā)生。這些弊端對(duì)會(huì)計(jì)信息系統(tǒng)安全的影響是不言而喻的。

(三)會(huì)計(jì)人員自身因素

會(huì)計(jì)信息化的應(yīng)用對(duì)會(huì)計(jì)人員的知識(shí)提出了更高的要求。會(huì)計(jì)信息化既要求會(huì)計(jì)人員要牢固地掌握一定的會(huì)計(jì)專業(yè)知識(shí),還要熟練地掌握相應(yīng)的信息技術(shù)以及財(cái)務(wù)軟件的使用和維護(hù)知識(shí)。現(xiàn)階段,多數(shù)會(huì)計(jì)人員業(yè)務(wù)經(jīng)驗(yàn)豐富,卻匱乏相應(yīng)的計(jì)算機(jī)專業(yè)知識(shí)。他們對(duì)財(cái)務(wù)軟件功能掌握地不熟練,不能及時(shí)排除軟件運(yùn)行的故障,難于勝任會(huì)計(jì)信息化條件下的財(cái)務(wù)工作。這也對(duì)會(huì)計(jì)信息系統(tǒng)的安全帶來了重大隱患。

(四)網(wǎng)絡(luò)環(huán)境因素

網(wǎng)絡(luò)是一個(gè)開放的環(huán)境,財(cái)務(wù)信息傳遞是需要借助網(wǎng)絡(luò)進(jìn)行傳輸?shù)?。因此如何避免?cái)務(wù)信息被不法分子截取和篡改成為威脅會(huì)計(jì)信息系統(tǒng)安全的重要課題。近來,網(wǎng)絡(luò)黑客頻繁非法侵入內(nèi)部網(wǎng)絡(luò)和操作系統(tǒng),截取商業(yè)信息或通過竊取系統(tǒng)合法用戶口令、密碼以實(shí)現(xiàn)合法登陸會(huì)計(jì)信息系統(tǒng),非法獲取重要的商業(yè)秘密。這會(huì)給企業(yè)造成不可估量的損失。

三、會(huì)計(jì)信息系統(tǒng)的安全控制措施

會(huì)計(jì)信息化是會(huì)計(jì)發(fā)展史上的新技術(shù)革命,是一項(xiàng)復(fù)雜的系統(tǒng)工程。會(huì)計(jì)信息系統(tǒng)安全問題涉及到人員、法律規(guī)定、單位內(nèi)部制度、信息技術(shù)等多方面。因此,建立會(huì)計(jì)信息系統(tǒng)安全防范措施是十分必要的。筆者認(rèn)為可以從四個(gè)方面著手。

(一)改善會(huì)計(jì)軟件本身界面的友好性

軟件開發(fā)人員需要設(shè)身處地地為信息技術(shù)知識(shí)不熟悉的用戶著想,使其開發(fā)出來的會(huì)計(jì)信息系統(tǒng)軟件易懂易用。當(dāng)會(huì)計(jì)人員把經(jīng)營期間所發(fā)生的業(yè)務(wù)信息輸入系統(tǒng)時(shí),系統(tǒng)能夠自動(dòng)生成所需的記賬憑證、賬簿和報(bào)表,并進(jìn)行財(cái)務(wù)分析。自動(dòng)生成功能可以有效地保證會(huì)計(jì)報(bào)表數(shù)據(jù)源真實(shí)可靠。

(二)建立健全會(huì)計(jì)信息化內(nèi)部控制制度

首先,應(yīng)健全單位內(nèi)部牽制制度,嚴(yán)格管理人員職責(zé)范圍。健全內(nèi)部牽制制度是保證會(huì)計(jì)信息系統(tǒng)安全的重要措施。會(huì)計(jì)信息系統(tǒng)管理員以計(jì)算機(jī)技術(shù)人員擔(dān)任為宜,負(fù)責(zé)操作系統(tǒng)的日常維護(hù),處理操作系統(tǒng)出現(xiàn)的軟件及硬件故障。系統(tǒng)管理員的維護(hù)活動(dòng)要受到一般操作員和特權(quán)操作員的監(jiān)督。應(yīng)用軟件源程序應(yīng)對(duì)系統(tǒng)管理員保密;特權(quán)操作員一般由會(huì)計(jì)主管擔(dān)任,他除了負(fù)責(zé)日常的賬務(wù)處理以外,還要對(duì)系統(tǒng)管理員和一般操作員的日常操作實(shí)施監(jiān)督;一般操作員包括記賬員、復(fù)核人員和綜合操作員。這就把一個(gè)完整的會(huì)計(jì)核算過程分解成幾個(gè)部分。不同的人員分別承擔(dān)不同的職責(zé),這就減少了舞弊事件發(fā)生的概率。

其次,應(yīng)健全會(huì)計(jì)信息系統(tǒng)操作管理制度。首先要加強(qiáng)會(huì)計(jì)檔案管理。具體應(yīng)做好以下工作:一是做好會(huì)計(jì)檔案的保管工作。財(cái)務(wù)部門應(yīng)定期備份會(huì)計(jì)信息系統(tǒng)中的財(cái)務(wù)數(shù)據(jù),以保證在計(jì)算機(jī)硬件系統(tǒng)損壞以后,能在最短的時(shí)間內(nèi)恢復(fù)原有的會(huì)計(jì)信息系統(tǒng);二是要做好會(huì)計(jì)檔案的管理工作。由于會(huì)計(jì)信息是存儲(chǔ)在磁性介質(zhì)或光盤上的,因此在形成檔案時(shí)應(yīng)準(zhǔn)備雙份備份,并且每個(gè)文件上都要注明形成檔案的時(shí)間與操作員姓名。備份文件應(yīng)存放在兩個(gè)不同的地點(diǎn),以防止意外情況發(fā)生。在保存這些檔案時(shí)還應(yīng)遠(yuǎn)離磁場,以防止由于磁性介質(zhì)的損壞使會(huì)計(jì)檔案丟失。其次,應(yīng)建立會(huì)計(jì)信息系統(tǒng)操作員崗位輪換制度,對(duì)會(huì)計(jì)人員進(jìn)行定期輪崗,避免工作人員在同一崗位上工作時(shí)間過長,從而滋生舞弊行為。

(三)努力提高會(huì)計(jì)人員的綜合素質(zhì)

會(huì)計(jì)信息化是一門融多門學(xué)科為一體的綜合性學(xué)科,會(huì)計(jì)人員的素質(zhì)在會(huì)計(jì)信息化工作中起著非常重要的作用。因此加強(qiáng)相關(guān)人員培訓(xùn)是提高會(huì)計(jì)信息化工作質(zhì)量的重要一環(huán)。實(shí)行會(huì)計(jì)信息化的單位要大力開展安全培訓(xùn)、職業(yè)道德教育、會(huì)計(jì)業(yè)務(wù)培訓(xùn)和信息技術(shù)培訓(xùn),并積極鼓勵(lì)會(huì)計(jì)人員在業(yè)余時(shí)間進(jìn)行自學(xué)。這些業(yè)務(wù)學(xué)習(xí)和培訓(xùn)都能夠幫助會(huì)計(jì)信息系統(tǒng)工作人員增強(qiáng)安全意識(shí),提高業(yè)務(wù)素質(zhì),樹立良好的職業(yè)道德,自覺遵守各項(xiàng)操作規(guī)程,避免工作出現(xiàn)失誤。

(四)強(qiáng)化網(wǎng)絡(luò)安全

網(wǎng)絡(luò)環(huán)境對(duì)會(huì)計(jì)信息系統(tǒng)的安全防護(hù)工作提出了比單機(jī)系統(tǒng)更高的要求。筆者認(rèn)為至少需強(qiáng)化以下二方面的措施:

1.建立必要的硬件防護(hù)措施

為了防止非法用戶和黑客的侵入,可以采用硬件防火墻。路由器的訪問控制列表通過設(shè)置防火墻、采用身份識(shí)別系統(tǒng)等技術(shù)防護(hù)措施,可以將非法用戶拒之網(wǎng)絡(luò)之外。面對(duì)重要商業(yè)秘密泄漏問題,可以對(duì)軟件的重要信息采用加密技術(shù),以防重要信息在傳輸過程中發(fā)生泄露。

2.建立預(yù)防病毒的安全措施

近年來,計(jì)算機(jī)病毒呈不斷蔓延的趨勢(shì)。它除了通過光盤、U盤、移動(dòng)硬盤等途徑進(jìn)行傳播外,還可以通過網(wǎng)絡(luò)環(huán)境進(jìn)行傳播。而且病毒在網(wǎng)絡(luò)環(huán)境下其隱蔽性更強(qiáng)、破壞力更大、傳播速度更快。為了防止病毒侵襲,要堅(jiān)持使用正版軟件。在操作系統(tǒng)中安裝防病毒軟件,在開機(jī)時(shí)進(jìn)行實(shí)時(shí)控制,對(duì)硬盤按期進(jìn)行病毒檢測(cè),及時(shí)發(fā)現(xiàn)并殺死病毒;定期對(duì)殺毒軟件進(jìn)行升級(jí);注意不打開和閱讀來歷不明的電子郵件等。

總之,會(huì)計(jì)信息化是伴隨著信息技術(shù)產(chǎn)生的,也必將伴隨著信息技術(shù)的發(fā)展而逐步完善。隨著會(huì)計(jì)法規(guī)和制度的逐步完善及會(huì)計(jì)人員素質(zhì)的提高,會(huì)計(jì)信息系統(tǒng)安全控制問題肯定能夠逐步解決。辯證地認(rèn)識(shí)會(huì)計(jì)信息系統(tǒng)安全現(xiàn)狀,客觀地分析目前所面臨的問題并有針對(duì)性地提出對(duì)策是必需的。

參考文獻(xiàn)

[1]陳升杰.對(duì)會(huì)計(jì)信息化的幾點(diǎn)思考[J].財(cái)稅金融,2008(15),12.

[2]沈周.會(huì)計(jì)信息化安全之我見[J].新西部,2008(02),45.

[3]徐曉琴.會(huì)計(jì)信息化的風(fēng)險(xiǎn)及其防范[J].湖北師范學(xué)院學(xué)報(bào),2008(05),25.

作者簡介:李真(1979—),男,江蘇食品職業(yè)技術(shù)學(xué)院會(huì)計(jì)學(xué)系助教,主要從事財(cái)務(wù)會(huì)計(jì)理論研究。